問題タブ [cfqueryparam]

SQL インジェクション攻撃を防ぎたい。ユーザーの AD ユーザー名とパスワードを要求するフォームがあります。次に、処理コードは次のようになります。

cfqueryparam (ユーザー名とパスワードの入力をラップするため) なしでユーザー入力を使用してクエリを実行することはありませんが、そのようなものは cfldap でも利用できますか? （それが違いを生む場合、私たちはCF10を使用しています。）

アップデート：

明確にするために、これを試したところ、次のエラーが発生しました。

タグ CFLDAP の属性検証エラーです。属性 CFSQLTYPE、VALUE は許可されません。

ここに私のコールドフュージョンコードがあります:

この coldfusion コードによって生成される SQL は次のとおりです。

cfqueryparam が「?」を返す理由がわかりません。数字の代わりに: "ls.country_id = ?" 注意のためのps Tnx、問題は解決しました

を使用して動的SQL クエリCFLoopを作成しています。私はCFSaveContent変数を反復処理してクエリを作成するために使用しており、それをCFQueryusingで実行していPreserveSingleQuotesます。それは問題なく機能しますが、この方法の問題は、使用できないCFQueryParamため、クエリがインジェクションに対して脆弱であることです。この問題の回避策があるかどうか疑問に思っていましたか?

アップデート：

したがって、この例では、クラッシュするためcfqueryparam、 for を使用できません。arguments.levePreserveSingleQuotes

したがって、別のファイルで構築された文字列が、バインドする必要があるグローバル変数としてクエリに渡されます (レガシー コード):

ここでクエリ文字列に cfqueryparam を使用する方法はありますか? または、ここでSQLインジェクションから身を守る別の方法はありますか? ご協力いただきありがとうございます！

Number(*,0)スケールがゼロで精度が高いOracle にどのデータ型を使用すればよいか、少し混乱していますか?

どちらを使用する必要がありますCF_SQL_INTEGERかCF_SQL_FLOAT? なぜ？

私は ColdFusion を使用しており、特定のアカウントの特定の列の値を取得できる関数を作成しようとしています (各アカウントは独自のレコード/行です)。

このような関数は正常に動作します:

しかし、私が実際に必要としているのは、どの列名から読み取るかを指定できる関数であり、異なるハードコードされた SELECT パラメーターを持つほぼ同一の CF 関数の束を作成する必要がなくなります。私はそれがこのように見えるはずだと思っていますが、実際に返されるはずの単一の文字列を実際に読み取るのに問題があります。

getColumn[#columnName#]orのようにブラケット表記で変数を使用できると思ったのは、getColumn[columnName]誰かがコメントで言及したからです。しかし、自分で変数を使用しようとすると、期待どおりに機能しませんでした。次のエラーが表示されます。

The value returned from the getColumnValueFromAccount function is not of type string. If the component name is specified as a return type, it is possible that either a definition file for the component cannot be found or is not accessible.

cfquery の単一の結果を取得したいが、クエリの SELECT 部分でハードコーディングされた列名を使用していない場合に、どのルートを使用する必要があるか考えていますか? 通常、このプロセスは非常に単純ですが、列名が変数の場合は少し異なるようです。

増やすことができる文字数の制限はありcf_sql_longvarcharますか、それとも代替手段ですか? 43,679 文字または 40 ～ 45 kb あたりで切り捨てられているようです。